n-wp.ru — блог о WordPress
Open Sans в админке WordPress 3.8 — проблема безопасности и ее решение | n-wp.ru

Open Sans в админке WordPress 3.8 — проблема безопасности и ее решение

Правда ли, что WordPress 3.8 передает сведения о пользователях из административной части блога на сайты Google?

После обновления WordPress до версии 3.8+ все радуются новому виду административной части блога — просто, стильно, современно. Я тоже иногда радуюсь, почему бы мне не радоваться, ведь простой интерфейс, которым приятно пользоваться является залогом успеха: профессионалов он не отвлекает, а дилетантам не дает запутаться. Однако один момент меня все же напрягает.

Я являюсь сторонником самостоятельности, самодостаточности кода. А сейчас же в моде тенденция возлагать ответственность за выполнение части кода на внешние источники. Так происходит со скриптом jQuery, за которым сайты обращаются на сторонние сайты (обычно это хранилища Яндекса или Goole), так происходит и при подключении Google Web Fonts.

С одной стороны, это хорошо, что есть такие сервисы, которые как бы безвозмездно предлагают воспользоваться мощностями их серверов для хранения и обработки части кода ваших сайтов. Вам всего-то и нужно, что вставить одну-две строчки в исходный код сайта, а всю работу по доставке (и иногда обработке) этого кода возьмет на себя сторонний сервер, не имеющий к вашему сайту кроме этой строчки никакого другого отношения. Это позволяет сделать параллельную загрузку скрипта, находящегося удаленно, загружать его асинхронно, и тем иногда добиваться уменьшения времени загрузки и снижения нагрузки на сервер, обеспечивающий работу вашего сайта.

Однако ту скрываются и подводные камни, о которых не задумываешься, пока не сядешь на мель. Например, если удаленный сервер, на котором расположен шрифт или скрипт, становится недоступным, то это может вызвать частичную или даже полную неработоспособность вашего сайта. Можно, конечно, подстраховаться и сделать запасную загрузку с вашего сайта, если удаленный не работает. Но есть и еще один фактор, о котором мало кто заботиться — конфиденциальность и связанная с ней безопасность.

До версии 3.8 WordPress была самостоятельной системой, не нуждающейся в работе в помощи других сервисов. Однако в версии 3.8 разработчики зачем-то подключили шрифт Open Sans, который загружается напрямую из хранилища Google Web Fonts. Что это — попытка уменьшить размер? Но лишние 100 килобайт не сделают погоду, тем более сейчас, когда хостинг скоро станет соврем безразмерным. Или это договоренность с Google, несущая какие-то преференции обеим сторонам? Но суть не в этом, а в том, что, загружая Open Sans из Google Web Fonts, мы передаем сведения на сайт Google, причем они могут быть как безобидными, так и сугубо конфиденциальными, ведь информация уходит из админки.

Вольфганг Визе в своем блоге показал, как получить метаданные пользователя, по которым можно его идентифицировать (возможно, что даже получить доступ в админку, если она не защищена специальными возможностями), отследить взаимосвязи между данными на сайте и аккаунтами в социальных сетях (ведь вы же кликаете по социальным кнопкам?).

Open Sans в админке WordPress 3.8

Скорее всего я преувеличиваю опасность, и использование шрифта Open Sans, загружаемого напрямую из Google Web Fonts не представляет угрозы для большинства пользователей. Однако я придерживаюсь мнения, что любое решение, которое является пусть даже теоретической опасностью конфиденциальности и безопасности, должен принимать сам пользователь, а не разработчики. Разработчики должны ставить пользователя в известность о том, что его данные могут быть использованы сторонними компаниями при использовании определенных опций, и давать возможность отключать их. Думаю, что со шрифтом Open Sans все должно решаться чекбоксом в настройках. Ну а если вы так же, как и я, придерживатесь точки зрения, что WordPress должна быть самостоятельной, самодостаточной и абсолютно безопасной системой, то воспользуйтесь плагином Disable Google Fonts и отключите вообще гугловские шрифты, использующиеся в админке.

Посмотреть
Disable Google Fonts
вы перейдете по ссылке http://blog.milandinic.com/wordpress/plugins/disable-google-fonts/

tiaurus

Являюсь создателем n-wp.ru — блога о WordPress для новичков. Мне интересно многое, поэтому еще я сделал 123-box.ru — блог о программах для Windows, и tiaurus.info — блог о красоте.

2 комментария

  • Да, возможно разработчикам WordPress стоило сделать подключение с CDN опциональным (галочка в настройках).

    На один из своих блогов поставлю. Спасибо!

    Но, к сожалению, большинство блогов уже давно завязли на Disqus(комментарии), Google(youtube, jquery, comments, +1), Vk(comments, likes) и других больших братов.

    • А я думал этот плагин заменит ссылку на шрифты, на локальную ссылку. А нет, он просто удаляет подключение шрифтов. А еще мой самый простой блог посылает запросы на gravatar, в общем плагин удалил, за ненужностью.

/* ]]> */